GDPR上路兩年唯一開罰Google,史上最嚴個資法為何「治不住」科技巨頭?

by:徽徽
9939
本文經授權轉載自友站數位時代文/ 陳建鈞 

令各大企業人心惶惶的《一般資料保護規範》(GDPR),上路至今即將屆滿兩週年,這被評為「史上最嚴格」的隱私規範,過去這段時間來的成果如何?是成功遏止大企業不當取得民眾資訊,抑或是雷聲大雨點小?

post title

史上最嚴隱私法規GDPR上路即將屆滿兩年,瀏覽器業者Brave發布報告譴責歐洲各國分配給監管單位的資源過少,未能履行監督科技巨頭的職責。

Photo: Mitchell Luo

GDPR剛推出時可謂風聲鶴唳,眾多企業出面反對歐盟的嚴厲法條,甚至有美國媒體為避免受罰,乾脆謝絕歐洲用戶造訪網站,諸如此類的消息顯示,GDPR影響的層面非常廣。

儘管當時令企業人人自危,但規範究竟只是一張紙,還是能真正約束企業作為的強力法條,終究取決後續監管單位的執法力度。

就在GDPR上線滿兩週年前夕,瀏覽器業者Brave發布一份研究報告,披露歐盟旗下多數會員國在實行GDPR方面,大多只是虛應故事,並未真正投入資源維護人民隱私,導致執法力度不彰。

Brave是一間以維護隱私為主張的瀏覽器公司,由JavaScript設計者、前Firefox母公司執行長布蘭登.艾克所創立,其產品能夠阻擋網路廣告,並防止網站恣意追蹤用戶的足跡與瀏覽資訊。

post title

GDPR上路兩年來,科技巨頭中只有Google被裁罰,同時金額也被批對其不痛不癢。

路透社/達志影像

兩年來僅Google被罰,Brave批歐盟無力監管科技巨頭

GDPR限制企業在未經用戶許可的情況下,擅自利用及分享其網路數據,並賦予政府裁罰權力,能對企業處以最高全球營收4%的罰款,或強制要求企業改變收集數據的作法,這套規範甚至成為日本、巴西等歐盟外國家的效法對象。

儘管給予會員國政府這麼龐大的權力,在Google、微軟、亞馬遜、Facebook等諸多跨國科技巨頭中,上路至今唯有Google被罰過5,000萬歐元。儘管看似可觀,這卻只有Google每天營收的10分之1,當時便有許多觀點認為,這些罰金對Google來說根本不痛不癢。

post title

Brave政策長萊恩指出,GDPR至今執行力低落,各國也沒有分配適當的資源給相關單位。

Photo: Bill Oxford

如果沒有公司受罰,是因為企業人人自律,視用戶隱私為重,那無疑是最好的結果。但Brave並不認為如此,政策長強尼.萊恩(Johnny Ryan)指出,GDPR至今執行力低落,各國也沒有分配適當的資源給相關單位,「如果沒有強大的執行力與投入,這部法律就只是個空話。」

Brave花費數個星期調查歐盟各國在GDPR方面的人力配置及預算,指出除了英國、德國及義大利外,其餘國家劃撥給數據保護單位的年度預算都不足2,500萬歐元。人力上也有所不足,超過20國為負責單位配置的科技專家都不足10人。

這並非Brave片面的結論,根據《紐約時報》報導,實際今年2月歐盟就曾對30個歐洲國家/地區實施GDPR的情形進行評估,其中21個國家坦承沒有足夠的資源履行職責。負責監督亞馬遜的盧森堡,相關單位去年僅分配到570萬歐元預算,這僅僅只是亞馬遜10分鐘的營業額。

post title

Brave調查顯示,除個別國家外,歐洲多國每年分配給數據保護單位的預算相當不足。

Photo: Brave

為保護數據劃撥最多預算的德國,其相關單位負責人凱爾伯(Ulrich Kelber)指出,歐洲各國缺乏執行能力,「 絕大多數歐盟國家都沒有給數位保護單位分配足夠資源。 」

例如,被認為是監管科技巨頭先鋒的愛爾蘭,不斷削減撥給數位保護單位的預算,人數也逐漸減少,兩年來從未替GDPR裁決出任何一個懲處。Google、蘋果、Facebook、Twitter、LinkedIn等網路巨頭的歐洲根據地,都位於愛爾蘭。

《TechCrunch》指出,Brave在報告中下了一個結論:歐洲GDPR的執法人員沒有能力調查科技巨頭。

除了呼籲各國增加對數據保護單位的預算,以及廣納相關技術人才外,Brave也給予歐盟兩點建議,希望他們能成立調查機構協助各國數據保護單位;並建立違規程序,問責未能確實履行GDPR的國家。

post title

愛爾蘭監管單位強調,罰款不是對科技巨頭做出管制的唯一手段。

Photo: Dan Nelson

罰款不是唯一手段,監管單位有更多方法保護民眾隱私

愛爾蘭數據保護單位負責人迪克森(Helen Dixon)坦承,政府給予的預算相當不足,但聲稱愛爾蘭對此相當努力,儘管結果可能並不如預期。對科技、數位產業的投訴眾多,2018年就有超過1.2萬起,負責單位必須對每個投訴進行處理。

雖然至今只有Google一家大型科技公司被裁罰,但並非相關單位沒有採取任何行動,針對Twitter、Facebook等科技巨頭的訴訟仍在進行當中,並且Twitter很可能是未來幾個月內下一個遭受罰款的公司。

迪克森同時強調,監管單位能做的事不是只有開罰,他們也對科技巨頭的產品有一定程度的影響力,她舉Facebook的約會服務Dating為例,由於他們對這款App的數據收集方式提出質疑,社群巨頭也因此延後App的推出。

外界所看到的、新聞報導披露的,或許都是最吸引目光、淺顯易懂的「罰款」,但迪克森解釋,監管單位在維護民眾隱私、創造正面影響上有非常多種辦法,罰款絕對不是唯一的手段。


更多【數位時代】精彩內容:《繼史上最嚴個資法GDPR後,歐盟「AI白皮書」來了!將對科技業造成什麼衝擊?
數位身分證即將上路,我們準備好改變了嗎?
沒有人是局外人!史上最嚴個資法衝擊全球,帶你搞懂什麼是GDPR